Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en los recursos HTTP en Spring Data REST (CVE-2021-22047)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
28/10/2021
Última modificación:
01/11/2021

Descripción

En Spring Data REST versiones 3.4.0 - 3.4.13, 3.5.0 - 3.5.5, y versiones anteriores no soportadas, los recursos HTTP implementados por controladores personalizados que usan una ruta de API base configurada y un mapeo de peticiones a nivel de tipo de controlador están expuestos adicionalmente bajo URIs que pueden ser potencialmente expuestos para un acceso no autorizado dependiendo de la configuración de Spring Security

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:vmware:spring_data_rest:*:*:*:*:*:*:*:* 3.4.0 (incluyendo) 3.4.13 (incluyendo)
cpe:2.3:a:vmware:spring_data_rest:*:*:*:*:*:*:*:* 3.5.0 (incluyendo) 3.5.5 (incluyendo)


Referencias a soluciones, herramientas e información